Afficher le sommaire Masquer le sommaire
Fin 2024, les pays membres de l’Union européenne devront avoir transposé la Directive NIS 2 (Network Information and security) dans leurs lois nationales. Alors que la cybercriminalité ne cesse de croître, ce nouveau texte a pour ambition d’élargir le renforcement de la cybersécurité et de la cyber-résilience à de milliers d’entités européennes. Mais dans un contexte de pénurie de talents et de contraintes budgétaires fortes, comment les entreprises vont-elles s’organiser pour se conformer à une énième réglementation européenne exigeante ?
De la genèse vers de plus grandes ambitions
Si la directive NIS 1 affichait comme objectif d’élever le niveau commun de cybersécurité des États membres de l’Union européenne et de mieux protéger les entreprises les plus sensibles (Opérateurs de Services Essentiels), elle constituait surtout une réaction aux nombreuses cyberattaques perpétrées contre l’Europe entre 2005 et 2016. Dans les faits, cette directive n’a été que peu appliquée, notamment en raison des faibles sanctions réellement prononcées.
NIS 2 vient donc élargir le périmètre des entités concernées à 18 secteurs d’activité, comme les administrations publiques, et à des milliers d’entreprises et de sous-traitants, avec deux objectifs à relever :
- s’adapter aux cyberattaques d’aujourd’hui qui ciblent tout type d’entité (de la petite PME au groupe du CAC 40),
- forcer l’application du texte, en appliquant des sanctions similaires à celles prévues par le RGPD et en augmentant leur montant (basé sur le nombre d’employés et le chiffre d’affaires) ainsi que le nombre de contrôles.
Une mise en œuvre complexe
Pour répondre à son ambition, NIS 2 reprend principalement les mesures de la norme ISO/IEC 27001. Celles-ci, au-delà d’imposer des critères techniques avancés, impliquent la mise en place de changements structurels et organisationnels. La Directive y ajoute quelques spécificités, comme la création des Entités Essentielles (EE) et des Entités Importantes (EI). Une classification qui permet d’adapter les exigences à la fois au niveau de risque et au poids de l’organisation et ainsi d’améliorer la proportionnalité des sanctions. Quoi qu’il en soit, une entité déjà certifiée ISO 27001 ne devrait pas avoir de gros efforts à faire pour se mettre en conformité à NIS 2. À l’inverse, les organisations qui n’ont pas ou peu de culture en cybersécurité vont devoir investir énormément de ressources, à la fois humaines et financières, pour structurer leur sécurité de manière organisationnelle et adapter leur gouvernance.
Se pose alors la problématique de la pénurie des talents en cybersécurité. NIS 2 devrait concerner au moins 16 000 entreprises en France, et au moins 200 000 au niveau européen. Or, en 2023, Cybersecurity Ventures indiquait que 3,5 millions de postes en cybersécurité étaient toujours à pourvoir et qu’en parallèle, depuis 2011, le taux de chômage du secteur est à 0%.
L’application de la NIS 2 va se heurter à la réalité du terrain : engager un spécialiste en cybersécurité ne sera possible que pour les sociétés capables de payer des prestations qui devraient être revues à la hausse.
Trois défis majeurs pour les entreprises européennes concernées
Les entreprises auront à relever plusieurs défis pour se mettre en conformité avec cette nouvelle directive. D’abord, elles devront s’y retrouver dans la complexité des textes de lois européens, toujours plus nombreux et exigeants. En effet, NIS 2 est un énième texte réglementaire sur la cybersécurité, un de plus au niveau mondial. Entre les mises à jour et les nouveautés concernant les normes internationales, les frameworks et les types de réglementations (règlements, directives, lois, décrets, arrêtés…), les entités concernées doivent suivre la marche. D’autant plus que d’autres textes européens arrivent comme l’IA Act (proposition de règlement européen sur l’intelligence artificielle) et deux projets de certifications de cybersécurité européennes (EUCC pour les produits TIC et l’EUCS pour le cloud).
Ensuite, les entités devront trouver des ressources humaines suffisamment qualifiées et expérimentées (juristes, consultants, RSSI…) pour répondre à toutes ces exigences.
Enfin, elles auront à sélectionner, parmi les multiples produits de sécurité du marché, ceux qui leur conviennent, avec un coût cumulé non négligeable. Ces dépenses sont certes nécessaires mais loin d’être à la portée financière de petites entités. Même si certains éditeurs ont anticipé cette problématique et adapté leurs offres pour s’adresser au plus grand nombre.
Et si NIS 2 était trop ambitieuse ?
Volonté utopique et politique, la NIS 2 promet d’imposer un socle de sécurité commun à différents secteurs dont font partie des milliers d’organisations. Mais cette mise en œuvre paraît trop ambitieuse car elle s’appuie sur un écosystème fragilisé par le manque de ressources humaines. Les organisations devront être guidées, notamment avec des plans de formations ou des subventions, afin de réaliser leur mise en conformité.
Dans l’univers de la cybersécurité où la gestion du risque est primordiale, les entreprises devront soigneusement évaluer le rapport entre les ressources investies dans la mise en conformité à NIS 2, en tenant compte de la probabilité des risques encourus, et des amendes potentielles.
Après NIS 1 en 2016, NIS 2 en 2023, quid de NIS 3 ? en 2030 ? L’Europe décidera-t-elle de poursuivre l’élargissement des mesures aux toutes petites entreprises ou rajoutera-t-elle de nouvelles exigences aux EE et EI ? Une chose est sûre : l’accompagnement renforcé des entités et la simplification de cet arsenal législatif pourraient être les bienvenus
Fabien Lavabre
Directeur de la sécurité chez Tixeo
